web-dev-qa-db-fra.com

Comment l'authentification d'empreinte digitale est-elle sécurisée?

Dernièrement, la biométrie est utilisée pour la vérification de l'identité partout. Les visas électroniques, les passeports et même les transactions bancaires (UUIDAI ADHAR SYSTEM EN INDE est maintenant utilisé pour la vérification de l'identité, les micro-paiements, E.T.C.). Je ne peux toujours pas comprendre comment cela peut être sûr. Voici quelques façons que l'on pourrait potentiellement pirater le système:

  1. Un appareil de numérisation biométrique piraté peut être utilisé par Say, un commerçant qui accepte les micro-paiements. Habituellement, le scanner lui-même crypte les données d'empreintes digitales, mais le piraté, il n'est pas nécessaire. Donc, comme le commerçant a ses données biométriques, il peut autoriser les paiements autant de fois qu'il souhaite sans le consentement de l'utilisateur.

  2. L'argument habituel de la manière dont les données biométriques sont immuables contrairement à la réinitialisation des mots de passe de texte.

  3. En fait, il n'y a pas besoin d'un scanner piraté. On pourrait obtenir des données biométriques à travers des empreintes digitales laissées littéralement partout une personne. Ensuite, de faux passeports peuvent être forgés en créant une puce intelligente avec ces données. Je ne sais pas comment SmartCHIPS chiffrer des données. Une technique de cryptage courante est-elle utilisée avec différentes clés pour chaque puce utilisée? Donc, le serveur stocke la clé publique de cette clé et vérifie-t-elle? J'ai aussi lu que SmartCHIPS effectue une sorte de calcul? Qu'est-ce qui est calculé?

Comment les systèmes d'authentification sont-ils sécurisés de ces attaques?

5
Zend Mastiff

La biométrique n'est pas très sécurisée pour l'authentification, mais elle peut être suffisamment sécurisée pour la vérification de l'identité pour de nombreuses applications lorsqu'il existe un témoin de confiance lorsque la biométrie est prise. La biométrique est également utile pour détecter des doublons. Pour le paiement biométrique, le témoin de confiance est essentiellement le commerçant. Pour la vérification de l'identité, le témoin de confiance est généralement un employé du gouvernement. Notez que quatre vérification de l'identité, le principal problème consiste à détecter les doublons et l'enregistrement biométrique empêche efficacement la même personne d'émission de cartes d'identité multiples.

L'utilisation d'empreintes digitales pour le paiement est un risque d'entreprise calculé VS Trade-off. Je ne connais pas les détails de la banque d'empreintes digitales que vous faites référence, mais je suppose que les marchands qui acceptent l'authentification biométrique supporde la responsabilité de veiller à ce que leurs clients ne soient pas étranges (comme utiliser de faux doigts) sur la machine de paiement. Si le client ou la banque affirme qu'une transaction est non autorisée, le commerçant serait considéré comme responsable de la transaction non autorisée qui est émise à l'aide de leur ordinateur et/ou de son compte marchand. De nombreux marchands légitimes considèrent que le risque d'inversion abusif soit assez faible lorsque l'on considère la limite de transaction et une entreprise supplémentaire qu'ils reçoivent en raison de l'option. Les marchands qui facilitent la fraude, soit intentionnellement, soit par négligence, devront rembourser n'importe quel paiement et seront étudiés par l'équipe de fraude de la Banque s'ils détectent un schéma anormal d'inversions et peuvent devenir noires.

Risque et sécurité sage, ce n'est pas très différent d'une signature dessinée à la main, où le commerçant est censé comparer la signature visuellement avec la signature à l'arrière de la carte. Le marchand frauduleux peut utiliser une machine modifiée pour enregistrer le numéro de carte et la signature pendant la transaction.

Les smartchips utilisés dans les cartes bancaires et les cartes d'identité sont essentiellement très petits, un ordinateur basse puissance avec un calcul sécurisé et une zone de stockage qui ne peut pas être lu hors de la carte sans détruire la puce. Le stockage sécurisé contient une clé privée et un programme de carte exécuté dans la puce utilise Cryptographie de clé publique pour générer une signature cryptographique des transactions. La signature cryptographique est un très grand nombre concernant une donnée qui ne peut pas être calculée sans la connaissance de la clé privée et deviendrait invalide si une partie des données est modifiée. Dans une transaction à puce uniquement (par exemple, Paywave, PayPass), la carte signe des transactions à faible valeur sans que l'utilisateur ait besoin d'authentifier avec la carte, dans une transaction de puce-et-broche, l'utilisateur doit entrer un numéro de code PIN correspondant à la broche stockée dans La carte avant que la carte ne signale la transaction.

En raison de la sécurité beaucoup améliorée en raison de l'utilisation de la signature cryptographique, les transactions impliquant une puce cryptographique ne mettent généralement pas la responsabilité de la transaction non autorisée sur le commerçant. Au lieu de cela, il devient la responsabilité de l'émetteur et du client de garder sa carte en sécurité.

Les empreintes de puce-et-digital peuvent être implémentées comme une alternative plus pratique à la pépinière, tout en étant beaucoup plus sécurisée que la transaction de la signature de balayage et de signature dessinée.

En conclusion, oui, l'empreinte digitale n'est pas très sûre. Mais lorsque l'alternative la plus sûre comme une puce-poupée est considérée comme trop gênante par le marché cible qui bascule facilement en espèces, il s'agit toujours d'une amélioration de la sécurité par rapport à la séjour à la signature de balayage et dessinée. Notez que les banques et les marchands ne se soucient pas de la sécurité de votre carte, s'ils peuvent être compensés à adopter le fardeau de la responsabilité de la fraude avec un volume de transaction accru et un traitement de paiement plus rapide.

2
Lie Ryan